Plano de Gestão de Riscos de Corrupção e … da INCM...Relatório Anual Acompanhamento Plano Gestão Riscos Corrupção 2015 página 3 INCM — Imprensa Nacional-Casa da Moeda,

Relatório Anual de execuçãoPlano de Gestão de Riscos de Corrupção e Infrações Conexas 2015


Relatório Anual de execuçãoPlano de Gestão de Riscos de Corrupção e Infrações ConexaS 2015

página 2 INCM Imprensa Nacional-Casa da Moeda, S. A.

Índice

3 SIGLAS

4 1. Introdução

4 2. Controlo Interno e Estrutura Orgânica

6 3. Conflito de Interesses

7 4. Responsabilidades Gestão de Riscos

8 5. Processo de Monitorização

8 5.1. Metodologia

9 5.2. Identificação de Processos

9 5.3. Monitorização dos Processos

10 5.3.1 Novos processos, atividades, riscos e medidas de controlo

13 5.3.2. Riscos eliminados ou mitigados

13 5.3.3. Avaliação das medidas de controlo

20 6. Conclusões

20 7. Deliberações

22 8. Anexos

22 8.1. Estrutura Orgânica

Relatório Anual Acompanhamento Plano Gestão Riscos Corrupção 2015 página 3

INCM — Imprensa Nacional-Casa da Moeda, S. A.

CA — Conselho de Administração.

CF — Conselho Fiscal.

CPC — Conselho de Prevenção da Corrupção.

DAI — Direção de Auditoria Interna e Controlo de Risco.

DF — Direção Financeira.

DJU — Direção Jurídica.

DPC — Direção de Planeamento e Controlo de Gestão.

DRH — Direção de Recursos Humanos.

DSA — Direção de Segurança e Apoio Geral.

DSI — Direção de Sistemas de Informação.

ISO — International Organization for Standardization.

NP — Norma Portuguesa.

ROC — Revisor Oficial de Contas.

SEE — Setor Empresarial do Estado.

SIGLAS


As Recomendações que o Conselho de Prevenção da Corrupção (CPC) tem emitido desde 2009, sendo a mais recente de 1 de julho de 2015, incidem sobre a necessidade dos dirigentes máximos das entidades gestoras de dinheiro, valores e património públicos adotarem e divulgarem Planos de Prevenção de Riscos de Corrupção e Infrações Conexas.

Nestes Planos, devem ser identificados de modo exaustivo os riscos de gestão, incluindo os de corrupção, bem como as correspondentes medidas preventivas, relativamente às funções, ações e procedimentos realizados por todas as unidades da estrutura orgânica das entidades, incluindo os gabinetes, as funções e os cargos de direção de topo, mesmo quando decorram de processos eletivos.

Os Planos devem designar responsáveis setoriais e um responsável geral pela sua execução e monitorização, bem como pela elaboração dos correspondentes relatórios anuais, e ser publicados nos sítios da internet das entidades a que respeitam (1).

As entidades devem realizar ações de formação, divulgação, reflexão e esclarecimento dos seus Planos junto dos trabalhadores e que contribuam para o seu envolvimento numa cultura de prevenção de riscos.

No seguimento do trabalho desenvolvido nos últimos anos na Imprensa Nacional-Casa da Moeda (INCM), no âmbito da gestão de riscos, e de forma a continuar a dar resposta às recomendações emanadas pelo CPC, foi efetuada a monitorização do Plano de 2015, tendo como objetivo analisar e avaliar em que medida está a ser implementado e aferir da necessidade de revisão dos riscos e controlos anteriormente identificados.

Adicionalmente e tendo em conta a recomendação n.º 5/2012, de 7 de novembro, do CPC, foi efetuada uma análise dos mecanismos de acompanhamento relativamente à gestão de conflitos de interesses.

O processo de monitorização do Plano de Prevenção de Riscos de Corrupção e Infrações Conexas está refletido no presente relatório de execução e levou à elaboração de uma nova versão do referido Plano (versão 2016).

De acordo com os princípios de bom governo das empresas do Setor Empresarial do Estado (SEE), referidos na Resolução do Conselho de Ministros n.º 49/2007, a INCM tem estruturas de administração e fiscalização ajustadas à sua dimensão e complexidade.

O ambiente de controlo interno da INCM é sustentado pelo modelo de governança da sociedade consolidado na sua estrutura organizativa(2), que delimita a atribuição de autoridade e responsabilidade, ao nível estratégico, tático e operacional.

1. Introdução

(1) Excetuando as matérias e as vertentes que apresentam natureza reservada, de modo a consolidar a promoção de uma política de transparência na gestão pública.

2. Controlo Interno e Estrutura Orgânica

Modelo de Governo da Sociedade

Autoridade e Responsabilidade

(2)Anexo 1 — Estrutura Orgânica INCM


A INCM, desde dezembro de 2014, é gerida de acordo com o modelo de governo latino reforçado — Assembleia Geral de Acionistas, Conselho de Administração (CA), Conselho Fiscal (CF)e Revisor Oficial de Contas (ROC). Esta alteração foi ao encontro das orientações do acionista para fortalecer as estruturas de controlo nos modelos de governo das empresas do Estado (Decreto-Lei n.º 133/2013, de 3 de outubro).

O modelo adotado assegura uma efetiva segregação entre as funções de administração executiva e de fiscalização.

O CA é o órgão responsável pela aprovação dos objetivos e políticas de gestão, elaboração e aprovação do plano estratégico e de negócio e relatório de gestão anual e por estabelecer a organização interna da empresa elaborando os regulamentos e as instruções que julgue convenientes. A comunicação corporativa é, assim, apoiada no conjunto de normas de aplicação permanente e de deliberações do CA, que permitem a clarificação de instruções, estabelecem níveis de responsabilização e implementam medidas para validação de processos.

As funções de fiscalização cabem ao CF e ao ROC. De entre as competências do CF este deve dar parecer sobre todas as matérias relativas ao controlo interno, gestão de riscos, reporte financeiro, auditoria externa e auditoria interna. Ao ROC, para além das atribuições constantes da lei, compete emitir os pareceres previstos no sistema de controlo interno da administração financeira do Estado e do SEE.

Ao nível tático, destaca-se o Comité de Gestão de Riscos Corporativos, órgão não executivo, que tem como missão o apoio e aconselhamento do CA sobre todas as matérias relativas à gestão integrada de riscos corporativos, assegurando a supervisão e o acompanhamento da gestão de riscos da INCM.

De acordo com as respetivas missões e responsabilidades, as áreas operacionais são agrupadas em:

• Unidades de Negócio, que pela sua natureza fazem o planeamento, a gestão e operação do ciclo de vida de serviços/produtos;

• Funções de suporte, que pela sua natureza transversal de prestação de serviços agregam as áreas que prestam serviços transversais;

• Funções de centro corporativo, que pela sua natureza estratégica crítica na atividade da empresa prestam serviços de planeamento e desenvolvimento da organização.

É nas funções de centro corporativo que se enquadra a Direção de Auditoria Interna e Controlo de Risco (DAI), responsável pela eficácia dos controlos dos processos, apoio ao CA e ao ROC e ao CF, exercendo as suas funções de um modo independente e objetivo. A função de auditoria interna tem como missão delinear e realizar auditorias ou trabalhos de consultoria internos, avaliando de forma independente e sistemática as atividades e processos críticos, permitindo contribuir para uma melhoria do desempenho, controlo e governo da INCM.

Administração vs. Fiscalização

Comité de Riscos

Estrutura Orgânica

Auditoria Interna e Controlo de Risco


O controlo interno é baseado nos aspetos relativos ao ambiente de controlo, avaliação e gestão dos riscos, atividades de controlo, informação/comunicação e monitorização /acompanhamento.

As atividades desenvolvidas pela DAI têm como finalidade e propósito responder aos seguintes requisitos do controlo interno:

• A confiança e integridade da informação;

• A conformidade com os planos, procedimentos, leis e regulamentos;

• A salvaguarda dos ativos;

• O uso económico e eficiente dos recursos;

• A execução (cumprimento) dos objetivos e metas estabelecidos;

• A avaliação dos processos de gestão de riscos;

• O apoio ao CA e ao CF/consultoria interna e governo da sociedade.

A INCM tem adotado um Código de Ética que prevê um conjunto de regras e normas de conduta que derivam diretamente da missão, valores e visão da INCM. Compete ao Comité de Ética garantir a manutenção dos níveis de boas práticas assim como a salvaguarda e o acompanhamento da implementação do Código de Ética e de Conduta.

As políticas de recursos humanos estão definidas e divulgadas através do Manual de Recursos Humanos.

A adoção de um Plano para a Igualdade de Género veio consubstanciar um dos valores da INCM. Este plano resultou de um processo participativo e transversal no qual foram envolvidas todas as áreas da empresa e compreende medidas que visam promover igualdade de género na INCM.

A gestão adequada, em matéria de conflito de interesses, surge como tema atual de enorme relevância nas relações entre os cidadãos e as entidades públicas, tendo em vista a promoção de uma cultura de integridade e transparência na sociedade portuguesa, com todos os benefícios daí decorrentes para a Administração Pública.

O CPC emitiu a Recomendação de 7 de novembro de 2012 a todas as entidades de natureza pública (ainda que constituídas sob a forma do direito privado) no sentido de elaborar mecanismos de acompanhamento e de gestão de conflitos de interesses integrados nos seus planos de prevenção de riscos, os quais devem ser devidamente divulgados dentro da organização.

Quanto a esta questão, refere-se que a INCM, partilhando desta preocupação, em 2010 aprovou o Código de Ética e de Conduta, revisto em 2014, aplicável a todos os colaboradores, onde se preveem diversas medidas, tendo em vista a prevenção de eventuais conflitos de interesses na organização.

Comunicação e reforço da integridade e valores éticos

Recursos Humanos e Igualdade de Género

3. Conflito de Interesses


Os membros do CA têm pleno conhecimento dos deveres de abstenção de participar na discussão e deliberação de determinados assuntos e respeitam as correspondentes normas no exercício das suas funções, tendo feito a declaração prevista no artigo 22.º, n.º 9, do Estatuto do Gestor Público à Inspeção-Geral de Finanças, relativa às participações e interesses patrimoniais detidos, direta ou indiretamente, pelos próprios.

Os membros do CA cumprem, ainda, todas as disposições legais e regulamentares decorrentes do exercício dos respetivos cargos e dos cargos que porventura exerçam em acumulação e prestam as declarações correspondentes, designadamente, perante o Tribunal Constitucional, a Procuradoria-Geral da República e o acionista.

Mecanismos de prevenção da ocorrência de conflitos de interesses na INCM:

i) O Código de Ética e de Conduta;

ii) Os colaboradores, de acordo com as atividades que desenvolvem na empresa, subscrevem diferentes declarações, designadamente:

Nas Contrastarias, os colaboradores assinam uma declaração em como se comprometem a exercer a sua atividade com isenção e imparcialidade;

Os colaboradores admitidos para as Contrastarias assinam um contrato de trabalho do qual consta uma cláusula de salvaguarda relativamente ao conflito de interesses.

iii) É solicitado aos trabalhadores que subscrevam uma declaração de confidencialidade, em que o declarante se compromete a observar os valores éticos consagrados no Código de Ética e de Conduta;

iv) Realização de inquéritos e/ou procedimentos disciplinares para apuramento de indícios e responsabilização dos infratores;

v) Auditorias de avaliação e monitorização das situações identificadas como de risco potencial.

Tal como definido pelo CPC, a questão do conflito de interesses está diretamente relacionada com as questões ligadas à corrupção.

Neste sentido, as medidas de controlo relativamente às práticas de corrupção e infrações conexas enunciadas no mapeamento do Plano de Gestão de Riscos e Infrações Conexas aplicam-se também à prevenção de riscos relativos ao conflito de interesses.

O Conselho de Administração define a estratégia de gestão de risco e aprova os limites de exposição ao risco em linha com a estratégia de negócio. Cabe a este órgão a responsabilidade global pelo Plano e sua execução.

Mecanismos de prevenção de conflitos de interesses

4. Responsabilidades Gestão de Riscos

Conselho de Administração


Apoia o CA em todas as matérias relativas à gestão de riscos e assegura a supervisão e acompanhamento da gestão de riscos de acordo com as seguintes competências:

• Apoiar o CA na estratégia de gestão de risco da INCM;

• Definir modelo e metodologia de análise de gestão dos riscos corporativos da INCM;

• Acompanhar o modelo implementado propondo as alterações necessárias;

• Analisar e supervisionar os riscos da INCM propondo medidas de controlo e mitigação dos mesmos;

• Garantir o alinhamento com os restantes comités nas matérias relacionadas com a gestão de risco corporativo.

Os riscos são identificados e avaliados pelas unidades orgânicas. Cabe ainda às unidades orgânicas a implementação das ações de mitigação.

O responsável do risco deve assumir os riscos conforme os limites de tolerância definidos, validar a avaliação dos riscos, efetuar o registo dos riscos, a sua monitorização e definição de ações de mitigação assim como assegurar a sua implementação.

Cabe à Direção de Planeamento e Controlo de Gestão (DPC) a monitorização das medidas incluídas nos objetivos anuais das unidades orgânicas que permitam reforçar o controlo interno, face aos riscos identificados no Plano de Gestão de Riscos.

Cabe à DAI a elaboração do relatório anual de execução do Plano e a avaliação do seu grau de cumprimento através de auditorias aos processos, aos vários componentes de controlo interno e dos mecanismos de controlo instituídos.

O processo de monitorização decorre da seguinte metodologia:

1. Reavaliação dos principais processos passíveis de atos de corrupção, pela auscultação interna a todas as unidades orgânicas da INCM e recolha de contributos, onde além dos riscos de corrupção se incluíram as questões relacionadas com conflitos de interesses.

2. Consideração dos elementos resultantes de auditorias internas aos processos mencionados no Plano;

3. Apreciação dos resultados da monitorização, realizada pela DPC das medidas que foram incluídas nos objetivos das unidades orgânicas, destacadas no Plano de 2015 por permitirem o reforço do controlo interno face aos riscos;

4. Observação de eventuais participações de irregularidades de entidades internas ou externas encaminhadas para o Comité de Ética da INCM.

Comité de Gestão de Riscos Corporativos

Unidades Orgânicas

Responsável Risco

DPC

DAI

5. Processo de Monitorização

5.1. Metodologia


A última monitorização do Plano foi efetuada em dezembro de 2015 e permitiu avaliar de forma sistemática e periódica a evolução dos fatores de risco, dos processos e da eficácia das medidas de controlo interno instituídas.

De acordo com as principais atividades da INCM, foi efetuado para cada unidade de negócio ou de serviços partilhados um mapeamento dos processos com maior probabilidade de ocorrência de riscos de corrupção ou de infrações conexas:

1. Compras/Aquisições de bens e serviços;

2. Manutenção e Obras;

3. Recursos Humanos;

4. Gestão de Stocks;

5. Produção ;

6. Contrastarias;

7. Financeiros;

8. Ativos Fixos;

9. Vendas e Prestações de Serviços;

10. Informação e Tecnologia;

11. Análises Laboratoriais;

12. Editorial;

13. Arquivo;

14. Correspondência.

Para cada um dos processos identificados foi efetuada uma descrição do risco e a identificação dos controlos instituídos pelas áreas.

Os riscos identificados foram quantificados em termos de probabilidade e impacto. Com base no cruzamento entre a probabilidade de ocorrência de determinado risco com o seu impacto, é atribuída uma notação de risco de Forte, Moderado ou Fraco.

A monitorização do Plano permitiu avaliar a evolução dos fatores de risco, dos processos e da eficácia das medidas de controlo interno instituídas.

5.2. Identificação de Processos

5.3. Monitorização dos Processos


Nesta medida, para cada processo foram analisados os seguintes fatores:

• Novos processos, atividades, riscos e medidas de controlo, não identificadas na anterior versão do Plano;

• Riscos eliminados ou mitigados;

• Avaliação das medidas de controlo.

No seguimento das alterações da estrutura orgânica da INCM, com o objetivo de melhorar o modelo de governança da empresa e respetivo modelo de controlo interno, verificaram-se alterações na atribuição de responsabilidades nas unidades orgânicas e consequente alteração dos responsáveis pelos controlos dos riscos. Estas alterações foram refletidas no Plano de Gestão de Riscos de Corrupção e Infrações Conexas de 2016.

No novo plano foram acrescentados dois novos processos, Arquivo e Correspondência, onde, segundo as particularidades de cada um, foram identificados riscos, cujo responsável avaliou como carecendo de controlo e monitorização.

O processo antes denominado Sistemas de Informação passou a ser denominado Informação e Tecnologia. Esta alteração prende-se com o reconhecimento e tratamento durante o ano de 2015 dos riscos referentes à Segurança da Informação no âmbito da ISO 27001(3) e consequente identificação mais precisa deste processo.

Assim, destacam-se as atividades, riscos e medidas de controlo identificados nestes processos:

Arquivo

Atividade Risco Controlos NotaçãoResponsável controlo

Arquivo intermédio.

Divulgação de informação confidencial.

Processo apoio definido no âmbito da qualidade — Regulamento do Arquivo Intermédio.Segregação de funções. Delegação de competências.Lei de Proteção de Dados.Código de Ética e de Conduta.

Fraco DSA

5.3.1 Novos processos, atividades, riscos e medidas de controlo

(3) ISO 27001 — Segurança da Informação


Arquivo


Arquivo intermédio.

Possibilidade de acesso às zonas de segurança por pessoal não autorizado.

Regulamento de Segurança. Processo apoio definido no âmbito da qualidade — Regulamento do Arquivo Intermédio.Rigoroso controlo acessos aos vários locais da empresa.Existência de sistemas de vigilância vídeo nos vários locais da empresa.Código de Ética e de Conduta.

Alta DSA

Irregularidades no armazenamento e acesso da documentação.

Processo apoio definido no âmbito da qualidade — Regulamento do Arquivo Intermédio.Segregação de funções. Delegação de competências.Código de Ética e de Conduta.

Fraco DSA

Correspondência


Correspondência. Divulgação de informação confidencial.

Processo apoio definido no âmbito da qualidade — Serviços Gerais.Segregação de funções. Delegação de competências.Código de Ética e de Conduta.

Fraco DSA

Possibilidade de acesso às zonas de segurança por pessoal não autorizado.

Regulamento de Segurança. Processo apoio definido no âmbito da qualidade — Serviços Gerais.Rigoroso controlo de acessos à área.Existência de sistemas de vigilância vídeo nos vários locais da empresa.Código de Ética e de Conduta.

Moderado DSA

Extravio interno/externo da documentação.

Processo apoio definido no âmbito da qualidade — Serviços Gerais.Segregação de funções. Delegação de competências.Código de Ética e de Conduta.

Fraco DSA

Informação e Tecnologia

Atividade Risco Controlo NotaçãoResponsável controlo

Segurança de informação.

Quebra de sigilo de informação restrita, a qual apenas deverá ser acessível pelos seus titulares, ou por um determinado grupo restrito de utilizadores.

Formulação e observação de normativos.Revisão, periódica, dos grupos de acesso e respectivas permissões.Implementação mecanismos de cifra.Formação e sensibilização em segurança de informação.

Fraco DSICISO


Informação e Tecnologia


Possibilidade de pessoa não au-torizada efetuar alterações a in-formação que não foi aprovada e que não está sob o controlo do seu proprietário.

Normativos.Implementar uma solução de assinatura digital associada ao meios de produção documental que, também, compreende mecanismos de garantia de integridade (hashing).Formação e sensibilização em segurança de informação.

Falhas das infraestruturas que leva a que a informação deixe de estar acessível, temporária ou definitivamente, por quem necessita dela.

Definição e implementação de um Plano de Continuidade de Negócio.

Nos processos já existentes foram identificadas as seguintes novas atividades, novos riscos e respetivos controlos:

Vendas e Prestações de Serviços


Negociação/ contratação.

Revelação de informação não autorizada, durante a fase do concurso, com vista a beneficiar terceiros de modo a obter vanta-gens no concurso.

Regulamento de Desafetação de Bens.Delegação de competências.Legislação nacional e europeia.Código de Ética e de Conduta.

Moderado DSADJUDFIComissão de trabalha-dores

Faturação. Cobrança de trabalhos com intenção dolosa.

Regulamento de Desafetação de Bens.Aprovação superior.Delegação de competências.Código de Ética e de Conduta.

Fraco DFIDSA

Vendas a trabalhadores.

Existência de conluio entre os intervenientes no processo.


Fraco DSADJUDFIComissão de trabalha-dores

Planeamento/ orçamentação.

Inflação dolosa dos valores orçamentados com o objetivo de tirar proveito próprio e/ou para terceiros.

Regulamento de Desafetação de Bens.Delegação de competências.Código de Ética e de Conduta.Legislação nacional e europeia.

Fraco DSADFI

Interesse pessoal na concretiza-ção da venda para benefício de um terceiro.

Regulamento de Desafetação de Bens.Delegação de competências.Código de Ética e de Conduta.Legislação nacional e europeia.

Moderado DSADJUDFIComissão de trabalha-dores

Planeamento realizado de forma dolosa.

Aprovação superior.Delegação de competências.Código de Ética e de Conduta.

Moderado DSA


Vendas e Prestações de Serviços


Execução/abertura de propostas.

Violação dos pressupostos previstos no convite.



Indução em erro da avaliação final da proposta para favoreci-mento de terceiros com vista à obtenção de vantagens.



Manutenção e Obras

Atividade Risco Controlo Notação Responsável controlo

Manutenção de ativos IT industriais.

Acesso a Informação não autorizada

Normativos de autenticação e identificação dos utilizadores.Politicas de backups e recuperação de dados. Segregação de funções. Testes de vulnerabilidade periódicos efetuados internamente ou por entidade externa.

Fraco DELCISO

Corrupção de dados

ContrastariasAtividade Risco Controlos Notação Responsável

controlo

Atribuição de licenças de atividade.

Atribuição de licença indevida em favorecimento de terceiro com/sem aceitação de favores e/ou benefícios ilícitos.

Lei n.º 98/2015, de 18 de agosto.Segregação de funções. Delegação de competências.Código de Ética e de Conduta.

Fraco UCO

Receção. Favorecimento de utentes, alterando a ordem de entrada das obras.

Lei n.º 98/2015, de 18 de agosto.Utilização de um sistema informático integrado (SAP).

Fraco UCO

Após processo de auscultação efetuada às várias unidades orgânicas, considera-se que os riscos se mantêm, não tendo sido identificados riscos eliminados ou mitigados.

Os controlos definidos no plano de gestão de riscos de corrupção e infrações conexas encontram-se implementados considerando-se que reforçam o sistema de controlo face aos riscos identificados.

5.3.2. Riscos eliminados ou mitigados

5.3.3. Avaliação das medidas de controlo


Durante o ano de 2015 alguns dos controlos foram melhorados pela alteração ou criação de procedimentos internos, nomeadamente:

• Deliberação do CA sobre delegação de competências;

• Processos de apoio definidos no âmbito da qualidade — processo de compras e processo de avaliação de fornecedores;

• Norma interna sobre trabalho suplementar e descanso compensatório;

• Norma Interna — Regulamento de Abate de Inventários;

• Norma Interna — Regulamento de Desafetação de Bens;

• Procedimento de fecho de caixa.

Ao nível da legislação que regulamenta a nossa atividade e define controlos à mesma destaca-se o novo Regime Jurídico da Ourivesaria e das Contrastarias (aprovado pela Lei n.º 98/2015, de 18 de agosto).

Relativamente às medidas que foram incluídas nos objetivos das unidades orgânicas e que foram destacadas por permitirem o reforço do controlo interno face aos riscos, as mesmas foram monitorizadas pela DPC, com os seguintes resultados:

Medidas Situação

1. Implementação de um plano de continuidade de negócio.

O projeto de elaboração e implementação de um Plano de Continuidade de Negócio visa responder, entre outras, à necessidade de garantir uma segunda linha de desen-volvimento, produção e armazenamento (Disaster Recovery) do Cartão de Cidadão (CC), Passaporte Eletrónico Português (PEP) e Diário da República Eletrónico (DRE).

A análise de cenários encontra-se nesta data concluída, estando em curso conversa-ções com o governo português e representantes dos organismos públicos que parti-cipam na emissão do Cartão de Cidadão (IRN, AMA e IGFEJ) e Passaporte Eletróni-co Português (SEF). Estas conversações pretendem adequar o modelo e garantir, por um lado, a sustentabilidade financeira do projeto e, por outro, a sua completude ao longo de toda a cadeia de valor destes produtos.

O projeto de implementação de um PCN, embora sob a responsabilidade da Direção de Sistemas de Informação (DSI), constitui um objetivo partilhado com outras uni-dades orgânicas, sendo assim monitorizado em mais de um mapa de objetivos.

Atenta a sua natureza e criticidade, este projeto é seguido em sede de project mana-gement office (PMO) no âmbito do programa Processos e Produtos Internos.


Medidas Situação

2. Certificação do sistema de gestão de segurança da informação (ISO 27001).

O projeto de implementação de um Sistema de Gestão de Segurança de Informação (SGSI), que nesta fase abrange apenas um dos produtos — o tacógrafo — encontra-se em curso desde abril de 2015, estando previsto, de acordo com a atual baseline do projeto, realizar a auditoria externa de certificação pela ISO 27001 (1.ª fase) a breve trecho, previsivelmente no mês de maio. Após a obtenção desta certificação, é inten-ção da INCM, paulatinamente, estender esta certificação aos restantes produtos.

A meta traçada para 2015 consistia na conclusão da etapa de elaboração da docu-mentação do SGSI, o que foi alcançado com sucesso, sem prejuízo da sua perma-nente atualização. Aliás, encontra-se a decorrer um processo de revisão e melhoria da documentação de acordo com os resultados da auditoria interna entretanto já realizada neste referencial no passado mês de janeiro.

Entre os documentos mais importantes do SGSI salienta-se o Manual do Sistema de Gestão de Segurança da Informação, as políticas de segurança da informação, o processo de apoio «PA10 — Avaliação do Risco», o regulamento do comité de se-gurança da informação (CSI), o Plano Anual de Prevenção de Riscos de Segurança da Informação no Tacógrafo, a Declaração de Aplicabilidade (Statement of Applica-bility) e a definição dos planos para implementação dos controlos.

O projeto de implementação e certificação de um sistema de gestão de segurança de informação pela ISO 27001, no âmbito do tacógrafo, embora sob a responsabili-dade da DPC, constitui um objetivo partilhado com outras unidades orgânicas, sen-do assim monitorizado em mais de um mapa de objetivos.

Atenta a sua natureza e criticidade, este projeto é seguido em sede de PMO no âmbi-to do programa «Certificação e Segurança INCM».

3. Integração da aplicação informática das Contrasta-rias no sistema informático corporativo (SAP).

A substituição do atual sistema informático que dá suporte à atividade das Contras-tarias baseado em ORACLE para uma solução de SAP — QM tornava-se premente para uniformizar a arquitetura tecnológica da INCM.

Este projeto de integração da aplicação informática das Contrastarias no sistema informático corporativo (SAP), não obstante envolva outras unidades orgânicas, em particular a DSI, constitui, assim, um objetivo da Unidade de Contrastarias (UCO), tendo sido inicialmente definido como meta para 2015 concluir até ao final do ano o Business Blue Print (BBP). Contudo, devido a atrasos na finalização do caderno de encargos não foi ainda possível lançar o concurso público para o desenvolvimento dos trabalhos.

Apesar de ter sido já adquirido o licenciamento SAP para a utilização por parte dos colaboradores da INCM em 2015, está ainda em fase final o fecho das especifica-ções das cláusulas técnicas para a contratação de serviços de consultadoria e para parametrização do módulo SAP, necessários para a normal operacionalização do negócio da UCO. A nova data de entrada em produção só poderá ser definida após a adjudicação dos serviços, ainda que esteja previsto o seu fim no decorrer de 2016.

Reforça-se que este projeto viu a sua candidatura ao financiamento SAMA2020 aprovado.

Atenta a sua natureza e criticidade, este projeto, à semelhança dos dois menciona-dos anteriormente, é seguido em sede de PMO no âmbito do programa Processos e Produtos Internos.


Medidas Situação

4. Inclusão dos processos dos Serviços Sociais em SAP.

A gestão dos Serviços Sociais é suportada por um software que foi desenvolvido especificamente para a INCM, denominado Sistema Aplicacional dos Serviços So-ciais (SASS).

A coexistência deste software com o sistema integrado SAP leva à necessidade de manutenção de duas bases de dados e de interfaces regulares, o que obriga à confe-rência regular dos sistemas, por forma a ser garantida uma igualdade nas duas bases de dados.

Tendo em vista a substituição do sistema informático SASS, foi elaborado o business blue print (BBP), a que se seguiram, durante o ano de 2015, todas as fases inerentes ao projeto, isto é, especificações efetuadas pela Direção de Recursos Humanos e o desenvolvimento pela Direção de Sistemas de Informação (DSI).

Na segunda semana de fevereiro de 2016 teve lugar a reunião de steering, na qual estiverem presentes elementos da comissão executiva, da gestão e da equipa de projeto DRH, DSI e Direção Financeira (DFI), na qual foi apresentado o calendário das próximas ações, que envolvem os testes de aceitação, a formação e a migração de dados.

Perspetiva-se a entrada em produção no dia 1 de abril de 2016.

5. Redefinição da função do CISO.

A função do chief information security officer (CISO) é cada vez mais relevante para a INCM, não apenas no que diz respeito às operações internas, mas principalmente na apresentação da organização perante os seus parceiros comerciais, institucionais ou sociedade em geral.

Tendo esta preocupação como base, a INCM solicitou à Gartner uma avaliação do nível atual de maturidade da segurança de informação (ITScore). Esta avaliação, rea-lizada no final do primeiro semestre, permitiu identificar de forma assertiva o papel e relevância do CISO na organização, mas, mais importante, identificou ainda um conjunto de recomendações que se assumem como essenciais para que esta função possa evoluir em termos de maturidade e de relevância na INCM.

A função CISO está já operacionalizada com recurso permanente, esperando-se que no decorrer de 2016 seja apresentada a Estratégia de Segurança de Informação e o Plano de Ação de Segurança de Informação.

6. Promover o desenvolvi-mento de um modelo de acompanhamento e moni-torização do compliance legal.

O objetivo constante do mapa de objetivos da Direção Jurídica (DJU) para 2015 encontrava-se já plenamente cumprido à data do último ponto de situação, em setembro. Tendo em vista a implementação de um modelo de compliance legal na INCM, foram, assim, concretizadas as seguintes ações mais relevantes:

a) Apresentação do primeiro relatório de atividades do compliance legal ao CA, em março do corrente ano; b) Elaboração de um reporte no mês de junho de acordo com estabelecido no mapa de objetivos da DJU, contendo a descrição das principais atividades desenvolvidas;c) Emissão de alertas jurídicos (legislação de interesse geral publicada no DRE ou JOUE) e de informações compliance (resultantes da análise diária de legislação), procedendo-se à identificação dos deveres legais decorrentes para a INCM;d) Apresentação/divulgação através dos canais internos de comunicação da INCM da atividade do compliance legal prosseguindo um objetivo de envolvimento de todos e de todas as áreas da INCM.


Medidas Situação

Aliás, cumpre destacar que já posteriormente ao último ponto de situação, em no-vembro de 2015, foi criada na intranet uma área dedicada ao compliance legal, con-tribuindo assim para um maior conhecimento e uma maior consciencialização das normas e regulamentos internos da INCM bem como de toda a legislação nacional e internacional em vigor relacionada com a atividade da empresa.

Nesta área estão também disponíveis alertas jurídicos, onde é possível aceder às publicações normativas mais recentes relativas à INCM.

7. Revisão da Norma de Aplicação Permanente Relativa aos Abates.

Transcreve-se o ponto de situação reportado no passado mês de setembro, o qual apontava para a emissão naquela mesma data das Normas de Aplicação Perma-nentes (NAP) em apreço, o que veio efetivamente a acontecer (NAP 07/2015 e 08/2015, ambas de 19/09), cumprindo-se com o proposto.

Tendo em vista a agilização dos processos de abates e alienações, foi constituída uma equipa de trabalho integrando elementos da Direção de Segurança e Apoio Geral (DSA) — que coordenou — , da DJU e da DFI para revisão dos respetivos regu-lamentos. Dada a necessidade de organizar e analisar todas as anteriores aplicações dos regulamentos existentes até então, apenas no mês de setembro de 2015 foi possível concluir os trabalhos inerentes à apresentação de uma proposta de revisão ao CA. Optou-se por criar dois documentos distintos, que, sob a forma de NAP, apresentam com clareza todas as atividades e as respetivas descrições e responsabi-lidades.

É de salientar que foi preocupação desta equipa que a referida proposta, para além de considerar todas as situações até então identificadas, passasse também por garantir os princípios de legalidade e estatutários, de sustentabilidade, de transparên cia e de melhor rentabilidade económica. Neste trabalho foram igual-mente tidos em consideração os seguintes aspetos:

a) Adequação à nova estrutura;b) Racionalização e otimização dos procedimentos de alienação;c) Atualização ao abrigo do enquadramento legal que rege os vários processos;d) Revisão da matriz de responsabilidades e de intervenção de cada uma das áreas;e) Articulação com o documento de delegação de competências em vigor na em-presa;f) Consolidação dos pontos de controlo dos processos.

Embora este objetivo esteja sob a responsabilidade da DSA, por lapso, o mesmo acabou por não constar do mapa de objetivos desta UO, à semelhança das restantes medidas propostas no Relatório Anual de Execução de 2014 referente ao Plano de Gestão de Riscos de Corrupção e Infrações Conexas.

Legenda: Em curso Concluída

Durante o ano de 2015 a DAI efetuou atividades de auditorias aos processos identificados no Plano de Gestão de Riscos de Corrupção e Infrações Conexas avaliando os respetivos controlos:


Análise às vendas/prestações de serviços versus recebimentos na Contrastaria do Porto e análise do registo dos lotes e variação das receitas dos anos 2012 versus 2013

Nesta análise foi incluída uma análise de risco e respetivos controlos tendo sido emitidas 12 recomendações com vista à melhoria dos mesmos.

Destas 12 recomendações encontra-se ainda por implementar 1 que se prende com a revisão do modelo de custeio e aplicação do mesmo na UCO.

O início do projeto do modelo de custeio (revisão) prevê-se para fevereiro de 2016.

Auditoria à carteira de seguros da INCM

Foram identificados riscos e emitidas quatro recomendações no sentido de definir/melhorar medidas de controlo aos mesmos.

Três recomendações ainda se encontram em aberto, prevendo-se a sua implementação durante o ano de 2016:

• Revisão dos documentos que regulem e definam os procedimentos internos relativos a seguros: NAP 5/2001 — Seguros e CI 1/2007 — Seguro de Acidentes de Trabalho;

• Elaboração de procedimento em que sejam definidos de forma clara e inequívoca os critérios de valorização de itens, para definição de capitais a segurar;

• Avaliação da necessidade de segurar e em que condições os espólios do Arquivo, Biblioteca da Imprensa Nacional e Museu Numismático.

Realização de estudo sobre a capacidade de retenção de risco da INCM, pela análise dos meios de proteção e segurança já contemplados na empresa.

Auditoria de compliance processo de compras, aquisição de empreitadas

Auditoria de conformidade processo de compra de serviços subcontratados de limpeza, higiene e conforto, vigilância e segurança

De entre os objetivos destes trabalhos destaca-se o de minimizar o impacto dos riscos associados, tendo como suporte o Plano de Gestão de Riscos de Corrupção e Infrações Conexas, das diferentes áreas intervenientes.

Em ambos os trabalhos foram emitidas recomendações com vista ao cumprimento deste objetivo, tendo as versões provisórias para discussão em sede de contraditório sido enviadas às áreas em dezembro de 2015.

A emissão de relatório final e respetiva monitorização das recomendações pela DAI terão lugar durante o ano de 2016.

Contrastarias

Compras


Produção da emissão filatélica comemorativa O Caminho Português de Santiago de Compostela

Auditoria que incluiu a identificação de pontos fortes, fracos e riscos associados ao processo.

Foram emitidas e implementadas quatro recomendações.

Auditoria ao processamento, controlo de salários e movimentações

Desta auditoria, cujo relatório final foi emitido em outubro de 2015, resultaram nove recomendações que preconizam medidas de reforço do sistema de controlo interno, das quais duas foram implementadas ainda no decorrer de 2015.

As restantes mantêm-se sob monitorização da DAI tendo data de implementação prevista para 2016.

Auditoria ao cumprimento do princípio da Unidade de Tesouraria do Estado

A manutenção no Tesouro das disponibilidades das empresas públicas é obrigatória, desde a Lei do Orçamento do Estado de 2011, na Agência de Gestão da Tesouraria e da Dívida Pública — IGCP. Foi realizada uma análise ao cumprimento deste princípio e aos riscos associados ao não cumprimento do mesmo.

Das quatro recomendações emitidas encontra-se uma em aberto relativa aos movimentos que não são objeto de exceção, assunto que está a ser seguido pela administração e Direção Comercial e Marketing.

Para 2016 está prevista, no plano de atividades da DAI, uma auditoria de follow-up.

Parecer sobre procedimento de fecho de caixa e respetivos documentos de folha caixa

Tendo em consideração o reforço dos controlos e prevenção dos riscos relativos a faturação e devoluções, a DAI emitiu parecer sobre o novo procedimento relativo ao fecho de caixa.

Proposta de abate de ativo fixo tangível

Tendo em consideração os riscos identificados neste processo, foi efetuada uma análise ao abate de um ativo fixo da qual resultaram duas recomendações no sentido do reforço das medidas de controlo dos mesmos. Esta análise foi concluída em dezembro de 2015. As recomendações prendem-se com o processo de aquisição de um novo equipamento, e serão monitorizadas pela DAI.

Produção

Recursos Humanos

Financeiros

Vendas e prestações de serviços

Ativos Fixos


Controlo de contagens físicas de inventários 2014

Com vista à verificação do cumprimento do Regulamento de Contagens Físicas de Inventários, foi efetuada uma avaliação aos controlos nele instituídos. Foram feitas e implementadas sete recomendações relativas a medidas para cumprimento dos controlos.

Controlo de contagens físicas de inventários — 1.º semestre de 2015

Com vista à verificação do cumprimento do Regulamento de Contagens Físicas de Inventários, foi efetuada uma avaliação aos controlos nele instituídos. Foram feitas e implementadas quatro recomendações relativas a medidas para cumprimento dos controlos.

Auditorias/Trabalhos com medidas (recomendações) a implementar,

Auditorias/Trabalhos cujas medias (recomendações) foram todas implementadas.

Da análise efetuada aos elementos e processos de 2015 e, dada a identificação de novos processos, atividades e riscos relativamente aos mapeados na anterior versão do Plano, conclui-se que a INCM mantém um processo dinâmico, mantendo-se alerta na identificação de novas ameaças e atenta à necessidade de as monitorar/mitigar através da implementação de novos controlos ou da adequação dos controlos existentes.

Face aos resultados apurados na monitorização do Plano, bem como as avaliações independentes da auditoria interna, concluiu-se que as medidas de controlo identificadas e definidas encontram-se implementadas, ou com implementação em curso, considerando-se o sistema de controlo interno adequado face aos riscos de corrupção, infrações conexas e nas matérias relacionadas com o conflito de interesses.

Durante o ano de 2015, o Comité de Gestão de Riscos Corporativos acompanhou a definição de uma metodologia transversal de gestão dos riscos corporativos, de acordo com a NP ISO 31000(3), que vai possibilitar uma visão integrada do nível de risco a que a INCM está exposta e uma progressão na sua maturidade em gestão de risco, servindo de suporte à tomada de decisão e adequação da estratégia da empresa.

Atendendo ao exposto no presente relatório de execução, e tendo em vista a melhoria do processo de monitorização do Plano, recomenda-se que sejam aplicadas as seguintes medidas:

1. Prosseguir na realização de auditorias internas às áreas e processos onde foram identificadas as maiores probabilidades de ocorrência de riscos de corrupção e conflitos de interesses;

Gestão de Stocks

6. Conclusões

(3)NP ISO 31000 — Gestão do Risco

7. Deliberações


2. Promover ações de formação com vista a uma maior sensibilização de todos os colaboradores para a necessidade de mitigar ou eliminar o risco de práticas de corrupção e conflitos de interesses;

3. Continuar o processo de implementação da metodologia transversal de gestão de riscos corporativos definida, de acordo com a Norma NP ISO 31000.

Adicionalmente destacam-se as seguintes medidas incluídas, entre outras, nos objetivos das unidades orgânicas para 2016 que permitem reforçar as medidas de controlo interno, face aos riscos identificados:

1. Revisão do modelo de custeio;

2. Revisão do Código de Ética e de Conduta com a introdução do conceito de compliance;

3. Operacionalização do modelo da avaliação de desempenho.

Mantêm-se as medidas relativas a recomendações da DAI já ratificadas pelo CA e as medidas das unidades orgânicas de 2015, cuja conclusão, conforme monitorização, se prevê para 2016.

Estas medidas serão monitorizadas pela DAI e DPC ao longo do ano de 2016 para reporte no próximo relatório anual de execução.

Lisboa, 25 de fevereiro de 2016O Conselho de Administração,

Rui Alvarez Carp(Presidente)

Gonçalo Caseiro(Vogal)

Rodrigo Lucena(Vogal)

Relatório Anual Acompanhamento Plano Gestão Riscos Corrupção 2015 página 23 página 22 INCM Imprensa Nacional-Casa da Moeda, S. A.

8. Anexos

8.1. Estrutura Orgânica

MOdElO dE gOvERNANCE INCM (*)

Orgãos SOCiais

Assembleia geral Concelho

de administração

ROC/scroc Conselho Fiscal

Órgãos Consultivos

Conselho editorial Conselho

Numismático

Conselho do Sistema

integrado de gestão

Comité

Sustentabilidade desenvolvimento

de Novos produtos

e intercionalização

igualdade do género

Competividade ética risco

segurança

da informação

inovação

(*) Existe ainda uma Comissão de Sourcing composta pela UBP, UGF, DCM e DFI dedicada à avaliação dos custos de produção e valor de mercado das publicações da INCM


gOvERNANCE — COMItéS

nív

el e

stra

tég

ico

cONSElHO dE AdMINIStRAÇÃO

Acompanhamento da execução de plano de investimento

Aco

mpa

nham

ento

de

linh

as

orie

ntad

oras

Reuniões e deliberações Acompanhamento de objectos programáticos

nív

el t

átic

o

COMItéS

ÉticAiguAldAde do gÉneroSuStentAbilidAdeSegurAnçA de informAção

novoS produtoS e internAcionAlizAçãocompetividAderiScoinovAção

info

rmaç

ão d

e im

plam

enta

ção

de a

ções

Reuniões perióticasAcompanhamento de linhas orientadorasmembros do comité permanentes

informação de alinhamento e validação Reuniões Dinâmicas Acompanhamento de programas e projectosMembros do comité nomeados de acordo com a relevância da agenda

Aco

mpa

nham

ento

de

proj

ecto

s

Aco

mpa

nham

ento

de

prog

ram

as

NÍV

EL O

PERA

CIO

NAL

FUNÇÕES CENtRO CORPORAtIvO

FUNÇÕES dE SUPORtE UNIdAdES dE NEgÓCIO

ciSodAidpc

dSAdfideldrHdcmdJudSidpcSlg

ucoupbugfumd

proJect mAnAgement office

Reuniões UDGestão de ProjectosProdução de informação de gestãoAcompanhamento de execução

informação de gestão Reuniões bimestrais de PMOReuniões semestrais de PMO temáticosGestão de programas e acompanhamento de projectos

informação de execução de projectos


CONSElHO dE AdMINIStRAÇÃO

UNIDADES DE NEGÓCIO M&B

Museu e Biblioteca

UCO UPB UgF UMd

Unidade de Contrastaria

Unidade de Publicações

Unidade Gráfica Unidade de Moeda

FUNÇÕES DE SUPORTE FUNÇÕES CENTRO CORPORATIVO

dSA dFI dEl dPC dAI CISO

Direção de Segurança e Apoio Geral

Direção Financeira Direção Engenharia e Laboratórios

Direção de Planeamento e Controlo de Gestão

Direção Auditoria Interna e Controlo de Risco

Coordenador de Segurança de Informação

dRH dCM dJU

Direção de Recursos Humanos

Direção Comercial e Marketing

Direção de Serviços Jurídicos

dSI dCP Slg

Direção de Sistemas de Informação

Direção de Compras Serviço de Logística

Lojas

› Lisboa

Rua da Escola Politécnica, 137, 1250-100 Lisboa

Rua de D. Filipa de Vilhena, 12, 12-a,1000-136 Lisboa

› Porto

Praça de Gomes Teixeira (Leões), 1 a 7, 4050-290 Porto

Galerias Lumiére, Rua de José Falcão, Loja B-17, 4050-317 Porto

› Coimbra

Avenida de Fernão de Magalhães, 486, 3000-173 Coimbra

DesignCMI

Coordenação e revisãoINCM

Ediçãomarço 2016

Designação

Imprensa Nacional-Casa da Moeda, S. A.

Morada

Avenida de António José de Almeida

1000-042 Lisboa

Telefone (+351) 217 810 700

Fax (+351) 217 810 796

Centro de Atendimento ao Cliente

(+351) 217 810 870

E-mail [email protected]

Site www.incm.pt


Documents

Plano de Gestão de Riscos de Corrupção e … da INCM...Relatório Anual Acompanhamento Plano Gestão Riscos Corrupção 2015 página 3 INCM — Imprensa Nacional-Casa da Moeda,